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基于 OpenVPN 的 广播 电视 远程 监测 系统 搭建 与 实现 
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摘 要 : 随 着 计算 机 、 网 络 等 技术 的 快速 发 展 ， 远 程 桌面 控制 作为 一 项 重要 的 技术 手段 ， 在 各 领域 中 已 经 得 到 了 广泛 应 用 。 
为 了 保障 广播 电视 的 安全 播 出 和 正确 的 宣传 导向 ,广播 电视 监测 系统 的 搭建 和 技术 完善 必 不 可 少 。 随 着 广播 电视 监测 业务 的 
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要 求 越 来 越 高 ， 如 何 构建 一 个 合适 的 广域网 远程 监测 系统 成 为 一 个 迫切 需要 解决 的 问题 。 本 文 结合 OpenVPN 的 特点 ， 提 出 
了 一 个 构建 广域网 远程 监测 系统 环境 的 方案 ， 完 成 系统 的 设计 并 实现 。 
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导语 

近年 来 广播 电视 传输 的 方式 越 来 越 多 样 化 ， 广 播 
电视 监测 范围 也 在 不 断 扩大 ， 很 多 监测 业务 需要 通过 
互联 网 来 实现 ,诸如 IPTV 用 户 终端 、 有 线 数字 电视 、 
互联 网 电视 等 。 互 联网 环境 不 同 导致 播 出 的 节目 也 有 
所 不 同 ， 相 关 监 管 部 门 需要 定期 对 不 同 的 节目 源 进行 
实地 收 测 、 取 证 、 抓 包 、 分 析 等 ， 耗 费 了 不 少 的 人 力 
资源 和 时 间 成 本 。 本 文 基于 OpenVPN 提出 了 一 个 远 
程 监测 方案 ， 该 方案 适用 于 对 IPTV 用 户 终端 、 有 线 
数字 电视 、 互 联网 电视 等 进行 远程 监测 ， 同 时 也 解决 
了 上 述 人 力 和 时 间 成 本 的 问题 。 本 文 对 OpenVPN 的 
特点 进行 简要 分 析 ， 并 搭建 一 个 基于 Windows 系统 的 
OpenVPN 远程 控制 监测 系统 。 
1.0penVPN 简介 

虚拟 私有 网 络 ( VPN ) 就 是 一 个 专用 的 虚拟 网 络 通 道 ， 
通过 该 技术 将 两 个 不 同 地 理 位 置 的 网 络 安全 地 连接 起 来 ， 
提供 给 企业 之 间或 者 个 人 与 公司 之 间 的 一 种 安全 的 通讯 
线路 ， 类 似 于 内 网 专线 。 和 传统 的 VPN 相 比 ，OpenVPN 
的 性 能 良好 且 稳 定 ， 系 统 搭建 和 使 用 简单 友好 ， 维 护 也 
相对 方便 ， 便 于 相关 技术 人 员 学 习 使 用 。OpenVPN 使 用 
共享 密 钥 、 数 字 证 书 进行 身份 验证 ， 这 些 都 是 根据 用 户 
自身 需求 利用 软件 自 带 的 脚本 工具 配置 的 。 利 用 OpenSSL 
加 密 库 对 通讯 进行 加 密 和 证 书 管理 ， 能 够 在 Windows、 
Linux 等 常用 系统 上 使 用 ， 它 包含 了 许多 诸如 访问 控制 、 
加 密 、 可 用 性 管理 等 安全 可 靠 的 功能 ， 已 经 不 再 是 一 个 
单纯 的 经 过 加 密 的 网 络 通讯 线路 ， 而 是 一 个 可 以 解决 ) 
播 电视 远程 监测 系统 网 络 环境 的 较 优 的 方案 。 
1.1 虚拟 网 卡 

虚拟 网 卡 是 OpenVPN 的 主要 技术 核心 ， 依 靠 tun/tap 
驱动 来 实现 其 功能 ， 除 不 具备 物理 网 卡 的 硬件 功能 外 ， 
其 他 功能 是 一 模 一 样 的 。 其 中 包含 了 网 卡 处 理 驱 动 和 字 
符 设备 驱动 ， 负 责 在 内 核 网 络 、 物 理 网 卡 和 用 户 之 间 传 
输 数据 。 利 用 网 卡 驱 动 部 分 tun 设备 模拟 网 络 行为 处 理 网 
络 数据 ， 接 收 来 自 TCP/IP 的 数据 或 者 将 数据 发 送 给 TCP/ 


一 人 


IP 进行 处 理 。 而 字符 设备 驱动 tap 设备 读 写 数据 链 路 层 
完成 与 应 用 层 的 数据 传送 ,将 数据 在 内 核 网 络 和 用 户 之 
间 传 送 。OpenVPN 虚拟 网 卡 工作 过 程 如 下 。 
1.1.1 发 送 数 据 过 程 

Q@ 应 用 程序 发 送 网 络 数据 ; 

@ 经 过 路 由 决策 ， 网 络 数据 传 到 内 核 网 络 协议 栈 做 
处 理 ， 再 传输 到 虚拟 网 卡 ; 

(3 数据 通过 虚拟 网 卡 进入 数据 队列 被 OpenVPN 读 取 
并 写 人 到 网 络 协议 栈 ; 

图 网 络 协议 栈 对 数据 进行 封装 等 处 理 ， 然 后 转发 给 
物理 网 卡 ; 

@ 物 理 网 卡 处 理 并 发 送 数据 。 
1.1.2 接收 数据 过 程 

中 物理 网 卡 接 收 到 数据 ， 对 比特 流 进行 解析 ， 将 得 
到 的 数据 写 入 内 核 网 络 协议 栈 ; 

@) 应 用 层 通过 字符 设备 驱动 ， 把 数据 传 给 驱动 网 卡 ; 

@@ 数 据 通过 虚拟 网 卡 netif_rx ( ) 接收 程序 重新 进入 
协议 栈 ; 

@ 协 议 栈 把 数据 传输 至 上 层 的 应 用 程序 。 

虚拟 网 卡 工作 流程 如 图 2-1 所 示 。 


| 应 用 程序 OpenVPN 
F EF | 
; | 
TCP/IP 协 议 栈 TUN/TAP 虚 拟 网 卡 
| | Hard_ sart-xmit | 
物理 网 卡 


图 2-1 虚拟 网 卡 工作 流程 
1.2 SSLTLS 加密 


2| 传媒 技术 
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SSL/TLS 最 初 叫 作 SSL 协 议 ， 是 “Secure Sockets 
Layer” 英 文 的 缩写 ， 是 一 种 安全 套 接 字 协议 ， 共 推出 了 
1.0、2.0、3.0 三 个 版 本 ,广泛 用 于 当今 的 互联 网 。 随 着 
SSL 协议 在 互联 网 中 的 应 用 愈 发 广泛 ， 已 然 成 为 互联 网 
的 安全 标准 。 后 来 IETF 组 织 将 SSL3.0 协议 进行 改进 ， 
便 有 了 TLS 协议 ( Transport Layer Security ) 的 问世 ， 但 后 
来 人 们 将 其 统称 为 SSL/TLS 协议 。 该 协议 通过 握手 方式 
进行 参数 协商 ， 诸 如 加 密 算法 、 认 证 算法 、 摘 要 算法 、 
密 钥 配送 算法 等 ， 通 过 握手 制定 出 相同 的 加 密 算法 和 秘 
钥 等 相关 加 密 信息 ， 核 心 步骤 很 简单 ， 双 方 确立 加 密 算 
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rsa 目录 下 能 看 到 安装 自 带 的 制作 证 书 、 秘 钥 等 可 能 要 用 
到 的 批 处 理 文件 ， 接 下 来 依次 制作 CA 证 书 文件 、 服 务 器 
证 书 和 秘 钥 文 件 以 及 相应 的 客户 端 证 书 和 秘 钥 文件 ， 如 
表 2-2 所 示 。 制 作 完 成 后 ， 会 在 easy-rsa\keys 目录 下 生 
成 刚刚 制作 的 相关 证 书 和 秘 钥 文件 。 

表 2-2 生成 证 书 和 密 钥 命 令 


制作 证 书 、 秘 钥 等 相 


关 dos 命令 注释 
init—config // 初始 化 


法 并 各 自生 成 一 个 公 钥 和 一 个 私 钥 ， 并 交换 公 钥 用 于 非 
对 称 加 密 算法 ， 为 接 下 来 的 通讯 进行 加 密 ， 也 可 以 复杂 


// 清空 所 有 证 书 


clean 一 al 


build—ca // 生成 根 证 书 和 根 私 铀 


一 点 添加 HASH 算法 等 。 这 样 就 在 开放 的 互联 网 环境 中 
实现 加 密 通 信 ， 从 而 实现 安全 可 靠 的 信息 传递 ， 让 双方 
可 以 安心 的 说 悄悄 话 。 目 前 SSLATLS 应 用 最 多 的 地 方 是 
与 HITP ( 超 文 本 传输 协议 ) 结合 成 HTTPS ( 带 加 密 技术 
的 HITP) ，HTTP 很 容易 被 欠 听 ， 而 经 过 SSL 协议 加 密 
的 HTTPS 通讯 即使 被 窃听 ， 通 讯 内 容 也 不 会 被 轻易 破解 
解读 。 
2.0penVPN 远程 控制 环境 的 构建 
2.1 OpenVPN 服务 器 搭建 与 安装 

这 一 部 分 是 服务 器 设备 跟 客户 端 设 备 都 要 做 的 工作 ， 
操作 基本 相似 。 通 过 OpenVPN 的 官网 或 者 其 他 安全 途径 
下 载 最 新 的 安装 包 openvpn-install-2.4.6-I602.exe， 安装 在 
服务 器 和 客户 端的 计算 机 中 ， 安 装 过 程 中 要 注意 需要 勾 选 
添加 easy-rsa， 安 装 完成 以 后 ， 会 在 easy-rsa 目录 下 生成 
OpenVPN 相关 证 书 、 秘 钥 制 作 的 命令 脚本 等 相关 工具 。 
2.2 证 书生 成 

搭建 基于 OpenVPN 的 远程 监测 系统 ， 大 部 分 和 重要 
的 工作 都 需要 在 服务 器 设备 上 进行 ， 客 户 端 方面 较 服务 
器 端 少 了 几 个 步骤 ， 相 对 简单 一 些 。 服 务 器 采用 RSA 非 
对 称 加 密 的 算法 和 CA 证 书 的 验证 方式 对 客户 端 进行 验 


build 一 keyserver | // 为 名 为 server01 的 服务 器 生成 证 书 和 服务 
server01 器 秘 铀 


// 为 名 为 client01 的 客户 端 生成 证 书 和 客户 


build—key client01 端 秘 铀 


// 对 生成 的 客户 端 证 书 进行 Diftie-Hellman 


加 密 


build—dh 


2.3 建立 配置 文件 

在 安装 目录 OpenVPN\sample-config 文件 夹 中 找 
到 server.ovpn 文件 并 找 贝 至 服务 器 端 OpenVPN\config 
文件 夹 中 。 将 client.ovpn 文件 找到 客户 端 电 脑 安装 目 
录 下 OpenVPN\config 目录 中 ， 并 根据 自身 对 系统 搭建 
的 情况 对 文件 关键 部 分 进行 编辑 改写 如 表 2-3、 表 2-4 
所 示 。 


表 2-3 OpenVPN 服务 器 端 配置 文件 


配置 文件 相关 参数 注释 


port 1194 //OpenVPN 默认 的 端口 号 为 1194 


证 , 在 默认 的 情况 下 一 个 客户 端 和 服务 顺 对 应 一 个 证 书 、 
秘 钥 等 加 密 套 件 。 所 以 第 一 步 要 做 的 就 是 证 书 和 秘 钥 的 
制作 。 证 书 和 秘 钥 的 制作 需要 在 服务 器 端 进行 ， 从 证 书 
制作 工具 ( easy—rsa 文件 夹 ) 找到 vars.bat.sample 文件 ， 
用 写字 板 打开 ， 这 里 需要 设置 环境 变量 、 证 书 及 密 钥 生 


成 命令 的 基础 信息 ， 如 国家 、 机 构 等 ， 可 依据 单位 信息 
进行 编辑 ， 如 表 2-1 所 示 。 
表 2-1 证 书 密 钥 默 认 值 


proto udp // 使 用 UDP 协议 
dev tun // 使 用 TUN 驱动 
， // 设置 根 CA 证书， 文件 名 根据 实际 
Ca ca.cr 文件 名 修改 
a Df crt // 设置 服务 器 证 书 ， 文件 名 根据 实际 
cert SerVerO1.cr 文件 名 修改 
ke 二 证 // 设置 服务 器 密 钥 ， 文 件 名 根据 实际 
ey server01.key 文件 名 修改 


// 此 处 为 服务 器 默认 的 虚拟 IP 地 址 与 


set KEY_EMAIL=mail(@host.domain // 邮件 地 址 


编辑 完成 后 使 用 init-config 命令 进行 初始 化 。easy- 


配置 文件 相关 参数 注释 server 10.8.0.0 255.255.255.0 | 子 网 掩 码 ， 可 根据 自身 情况 进行 编写 
更 改 

setKEY_COUNTRY=CN // 国家 
_ client—to—client // 允许 客户 端 和 客户 端 之 间 相 互 访问 

set KEY_PROVINCE=HN // 省 份 
set KEY_CITY=CS // 城市 ee // 这 是 一 个 静态 分 配 客户 端 地 址 的 文 

ifconfig 一 pool 一 petsist ipp.txt 件 
set KEY_ORG=OpenVPN // 组 织 


push “redirect-gateway defl| // 客户 端 所 有 的 网 络 连接 都 会 通过 服 
bypass—dhcp” 务 器 来 实现 
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表 2-4 OpenVPN 客户 端 配置 文件 
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见 图 3-2, 车 搭建 安装 完成 , 则 在 OpenVPN 程序 主页 ， 


配置 文件 相关 参数 注释 
proto udp // 使 用 UDP 协议 
dev tun // 使 用 TUN 驱动 


remote 47.100. 
XX.XX 1194 


// 根据 服务 器 设备 的 公 网 IP 地 址 和 端口 号 相关 
情况 进行 编写 更 改 ， 默 认 端 口号 为 1194 


Ca Cacit 


// 设置 根 CA 证书， 文件 名 根据 实际 文件 名 修改 


// 设置 客户 端 证 书 ， 文 件 名 根据 实际 文件 名 修 


cert clientO1.crt 


改 
// 设置 服务 器 密 钥 ,文件 名 根据 实际 文件 名 修 
key client01.key 改 


2.4 配置 文件 分 配 

分 配 服务 器 证 书 〈 此 操作 在 服务 器 设备 上 进行 ) ， 
将 keys 目录 下 ca.crt、ca.key、dh2048.pem、server01.crt、 
server01.key、ta.key 这 些 文件 存放 到 OpenVPN\config 目录 
中 ， 如 图 2-1、 图 2-2 所 示 。 


口 ot.pem 2019/1/9 22:41 PEM 文件 9 KB 
[0 ozpem 2019/1/9 22:50 PEM 文件 8 KB 
回 cacrt 2019/1/9 22:33 。 ”安全 证 书 3 KB 
m] cakey 2019/1/9 22:29 注册 表 项 4KB 
Bi client01.crt 2019/1/9 22:50 安全 证 书 8 KB 
口 client01.csr 2019/1/9 22:50 CSR 文件 2 KB 
图 clientol.key 2019/1/9 22:47 注册 表 项 4KB 
口 dh2048.pem 2019/1/9 22:45 PEM 文件 1KB 
国 indexbt 2019/1/9 22:50 文本 文档 1 KB 
[index.bdt.attr 2019/1/9 22:50 ATTR 文件 1 KB 
癌 serial 2019/1/9 22:50 文件 1KB 
G] severO1.crt 2019/1/9 22:41 安全 证 书 9 KB 
D server01.csr 2019/1/9 22:41 CSR 文 件 2KB 
Wm] serverO1.key 2019/1/9 22:37 注册 表 项 4 KB 
下 takey 2019/1/10 036 。 注册 表 项 1KB 


图 2-1 keys 目 录 下 的 文件 


此 电脑 ， 本 地 辜 盘 (Cj > program Files ，OpenVPN ，config 


名 称 修改 日 期 类 型 大 小 
+ 国 cacrt 2019/1/9 22:33 安全 证 书 3KB 
图 cakey 2019/1/9 22:29 注册 表 项 4KB 
- 0 dh2048.pem 2019/1/9 22:45 PEM 文件 1KB 
不 国 README.txt 2019/1/9 21:50 ”文本 文档 1KB 
+ severowpn 2018/4/27 0:17 OpenVPN Confi... 11 KB 
国 server01.crt 2019/1/9 22:41 安全 证 书 9 KB 
图 server01.key 2019/1/9 22:37 注册 表 项 4KB 
图 takey 2019/1/10 0:36 注册 表 项 1KB 


图 2-2 将 上 述 文 件 拷贝 至 服务 器 端 该 目录 处 


分 配 客户 端 证 书 的 操作 与 分 配 服务 器 证 书 的 操作 相似 ， 
将 服务 器 端 keys 日 录 下 cacrt、client01.crt、clientOl.key、 
iakey 文件 拷贝 到 客户 端 安 装 目录 OpenVPNwonfg 下 即 可 。 
3. 系统 测试 情况 

系统 搭建 安装 完毕 后 ， 对 某 一 地 市 的 工控 机 进行 连 
接 测试 , 主要 的 测试 内 容 是 远程 控制 的 速度 与 稳定 性 等 。 
打开 OpenVPN GUI， 测 试 服务 器 及 客户 端 是 否 搭建 安装 
完成 。 如 图 3-1、 图 3-2 所 示 。 


国 openvpN Connection (serve D 
Cumant State: Connected 


[Thu Jan 10 01:00:40 2019 Route addtion via service aucceeded 

[Thu san 10010040 2019 Could net dgaemineIPv4/IPv6 pmtocol. Using AF INET6 
[Thu Jan 10 0100:40 2015 Socket Buffers: R=[55536->65536] S=|55536->65535] 
[Thu Jan 10 0100.40 2019 setsockopt(IPVE_V6ONLY=0) 

[Thu uan 10 01.00:40 2019 UDPvS Ink ocal bound): [AF_INETElundef}:-1194 

[Thu Jan 10 01.00;40 2019 UDPvS Ink romote: [AF_UNSPEC] 

[Thu Jan 10010040 2019 MULTI mult_nit ealed. r=256 v=256 

[Thu Jan 10 01:00:40 2019 IFCONFIG POOL base=10 804 sie-62 pv6=0 

[Thu uan 10 01:00:40 2019 IFCONFIG POOL LIST 

Thu Jan 100100:40 2013 Intiaizaton Sequence Completed 

[Thu uan 10 01.00:40 2019 MANAGEMENT: >STATE:1547053240.CONNECTED,SUCCESS.10.8.0.1,.. 


< 


Assioned IP: 10.8.0.1 | 
OpenVPN GUI111000/246 


Disconnect Reconnect Hde 


图 3-1 OpenVPN 启动 图 标 


图 3-2 Open VPN 程序 主页 


会 看 到 分 配 的 ip， 图 标 亮 绿 灯 。 

通过 服务 器 端 OpenVPN 下 config 文件 中 的 日 志文 件 ， 
可 以 查 到 通过 VPN 连接 到 此 服务 器 的 客户 端 卫 等 信息 ， 
如 图 3-3 所 示 。 


图 3-3 服务 器 端 日 志文 件 


根据 文档 中 的 下 地 址 信息 远程 连接 客户 端 
10.8.0.14， 见 图 3-4。 


图 3-4 远程 控制 客户 端 界面 


从 连接 测试 环节 可 以 看 到 ，Open VPN 系统 比较 稳定 ， 
远程 操作 、 夯 面 回 传 都 比较 正常 ， 能 够 顺利 对 前 端 IPTV 
用 户 终 端 设 备 、 互 联网 电视 机 顶 盒 进 行 抓 包 ， 获 取 抓 包 
言 息 文 件 传 回 本 地 进行 分 析 ， 也 能 够 对 前 端 路 由 器 、 交 
换 机 、 编 码 器 等 设备 进行 配置 调试 ， 保 障 了 前 端 设 备 稳 
定 运行 ， 保 证 了 业务 顺利 开展 。 
4. 总 结 

本 文通 过 对 OpenVPN 的 安装 ， 在 服务 器 和 客户 端 
上 进行 不 同 的 操作 配置 ， 论 述 了 OpenVPN 远程 控制 环 
境 的 搭建 过 程 。 服 务 器 与 客户 端的 构建 过 程 包含 了 安装 
OpenVPN 、 建立 PKI ( Public Key Infrastructure， 公 钥 基础 
设施 ) 、 修 改 与 分 配 配置 文件 四 个 步骤。 此 系统 为 监测 系 
统 的 研发 提供 了 新 的 思路 和 可 行 性 ， 不 仅 可 以 实现 远程 
IPTV 用 户 终 端 、 互 联网 电视 、 有 线 数字 电视 等 监听 监 看 
相关 任务 ， 还 可 以 随时 对 前 端 广播 电视 监测 设备 进行 调试 
检修 ， 极 大 地 节省 人 员外 出 巡 检 带 来 的 人 力 、 财 力 、 时 间 
的 成 本 。 此 外 ， 该 系统 对 环境 的 需求 及 技术 门槛 不 高 ， 操 
作 起 来 非常 方便 ， 提 高 了 前 端 广播 电视 监听 监 看 的 效率 和 
稳定 性 .不 过 目前 由 于 服务 器 设备 性 能 及 网 络 带宽 的 限制 ， 
还 无 法 做 到 像 内 网 专线 那样 流畅 ， 后 续 会 对 服务 需 设 备 及 
网 络 方面 进行 升级 优化 ， 提 高 该 系统 的 稳定 性 。 别 
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